EU SEAL: Cloud-Souveränität wird messbar

Souveränität war ein Bauchgefühl — jetzt gibt es ein Raster

Wenn ein Cloud-Anbieter mit „Souveränität" oder „europäischer Datenhoheit" wirbt, klingt das gut. Doch was genau bedeutet es? Lange ließ sich diese Frage kaum sauber beantworten. Der eine verstand darunter ein Rechenzentrum in Frankfurt, der nächste eine europäische Konzernmutter, der dritte den vollständigen Ausschluss jedes außereuropäischen Zugriffs. Wer zwei Angebote vergleichen wollte, verglich am Ende Marketing-Begriffe, nicht überprüfbare Eigenschaften. Souveränität blieb ein Bauchgefühl.

Seit Anfang Juni 2026 gibt es dafür einen gemeinsamen Maßstab. Die EU-Kommission hat die vollständige Methodik ihres Bewertungsrahmens für Cloud-Souveränität veröffentlicht — kurz SEAL. Damit lässt sich erstmals an einem festen Raster ablesen, wie souverän ein Cloud-Dienst tatsächlich ist, anstatt sich auf das Versprechen des Anbieters zu verlassen. Dieser Beitrag ordnet ein, was SEAL misst, was die einzelnen Stufen bedeuten und wie Sie das Raster nutzen, um Ihren eigenen Anbieter einzuordnen.

Zur Abgrenzung: In einem früheren Beitrag haben wir den geplanten Cloud and AI Development Act besprochen, also das Gesetzesvorhaben dahinter. Hier geht es nicht um das Gesetz, sondern um das fertige Werkzeug, mit dem sich Souveränität konkret bewerten lässt.

Auf einen Blick

• Die **EU-Kommission** hat am **1. Juni 2026** die vollständige Methodik ihres Cloud-Souveränitäts-Rahmens **SEAL** veröffentlicht. Laut EU-Kommission gliedert er sich in **Souveränitäts-Level 0 bis 4** und **acht Kriterien (SOV-1 bis SOV-8)**.
• Bewertet werden laut EU-Kommission unter anderem der **Rechtsstandort des Anbieters**, seine **Exposition gegenüber dem US CLOUD Act** und die **Transparenz der Lieferkette** — also überprüfbare Eigenschaften statt Werbeaussagen.
• Das Raster ist kein reines Papier: Die Kommission hatte es laut EU-Kommission **bereits im April 2026** angewandt, um einen **Auftrag im Umfang von 180 Mio. €** an vier europäische Anbieter zu vergeben — darunter **OVHcloud, Scaleway und STACKIT**, die in diesem Auftrag mit **SEAL-Level 3** geführt wurden.
• Der Markt bewegt sich in dieselbe Richtung: Laut einer **Gartner-Prognose** steigen die europäischen Ausgaben für souveräne Cloud-Infrastruktur 2026 auf rund **12,6 Mrd. USD** — ein Plus von etwa **83 %** gegenüber 2025.
• Für kleine und mittlere Betriebe heißt das: Wer auf öffentliche Aufträge hofft oder in einer regulierten Lieferkette steht, wird seinen Cloud-Anbieter zunehmend an einem Mindest-Souveränitätslevel messen müssen. SEAL liefert dafür die Kriterien.

Was SEAL misst — und was die Level bedeuten

Der Kerngedanke von SEAL ist einfach: Statt „souverän" als Ja-oder-Nein-Etikett zu behandeln, beschreibt das Raster Souveränität als etwas Abgestuftes. Ein Dienst ist nicht souverän oder nicht souverän, sondern bewegt sich auf einer Skala — laut EU-Kommission von Level 0 bis Level 4. Je höher die Stufe, desto stärker ist der Dienst gegen Einflussnahme und Zugriff von außerhalb der EU abgeschirmt und desto vollständiger liegt die Kontrolle in europäischer Hand. Ein niedriges Level ist dabei nicht automatisch ein schlechter Dienst, sondern schlicht einer mit geringerer Souveränität — was je nach Anwendungsfall völlig ausreichen kann.

Damit diese Einstufung nachvollziehbar bleibt, stützt sie sich laut EU-Kommission auf acht Kriterien, bezeichnet als SOV-1 bis SOV-8. Sie betrachten verschiedene Dimensionen von Souveränität, die für die Anbieterwahl besonders aufschlussreich sind:

• Rechtsstandort des Anbieters. Welcher Jurisdiktion unterliegt das Unternehmen, das den Dienst betreibt — und damit, welcher Rechtsordnung folgt es im Zweifel? Ein Rechenzentrum in Europa allein sagt darüber noch wenig aus, wenn der Betreiber rechtlich anderswo verankert ist.
• Exposition gegenüber dem US CLOUD Act. Dieses US-Gesetz kann Anbieter, die ihm unterliegen, verpflichten, gespeicherte Daten herauszugeben — auch dann, wenn die Daten physisch in Europa liegen. Das Kriterium erfasst, wie stark ein Dienst dieser Reichweite ausgesetzt ist. Das ist keine pauschale Abwertung außereuropäischer Anbieter, sondern eine sachliche Eigenschaft, die man kennen sollte.
• Transparenz der Lieferkette. Cloud-Dienste setzen oft auf Vorleistungen anderer auf — von der Hardware bis zu Unterauftragnehmern. Das Kriterium fragt, wie offengelegt und nachvollziehbar diese Kette ist, denn Souveränität auf der Oberfläche nützt wenig, wenn eine entscheidende Komponente im Verborgenen außerhalb der EU kontrolliert wird.

Diese drei sind nur die im veröffentlichten Rahmen besonders hervorgehobenen Aspekte; das vollständige Raster betrachtet weitere Faktoren. Entscheidend ist der Wechsel der Perspektive: Sie bewerten nicht mehr ein Werbeversprechen, sondern überprüfbare Merkmale, die sich vergleichen lassen.

Dass das Raster mehr ist als eine theoretische Übung, zeigt seine Anwendung in der Praxis. Laut EU-Kommission hat sie es bereits im April 2026 zur Grundlage einer Vergabe gemacht: Ein Auftrag im Umfang von 180 Mio. € ging an vier europäische Anbieter, darunter OVHcloud, Scaleway und STACKIT, die dort mit Level 3 geführt wurden, und nicht an einen der großen US-Anbieter. Im Anschluss richtete einer dieser Anbieter seinen Vertrieb ausdrücklich auf das Thema souveräne Cloud aus. Daran lässt sich ablesen, dass die Einstufung handfeste Folgen haben kann — bis hin zur Frage, wer einen öffentlichen Auftrag erhält.

Warum das für kleine Unternehmen zählt

Auf den ersten Blick wirkt ein Vergaberahmen der EU weit weg vom Alltag eines kleinen Betriebs. Der Zusammenhang ist jedoch mittelbar, aber real. Wenn öffentliche Auftraggeber ihre Cloud-Entscheidungen an einem Souveränitätslevel ausrichten, ist es naheliegend, dass sie ähnliche Anforderungen in ihre Ausschreibungen aufnehmen. Wer dann als Unternehmen für die öffentliche Hand arbeitet oder als Zulieferer in einer solchen Kette steht, kann gebeten werden, die eigene Cloud-Nutzung an denselben Maßstäben nachzuweisen.

Eine ähnliche Dynamik entsteht über regulierte Lieferketten. Wo Vorgaben wie NIS2 greifen, achten größere Auftraggeber zunehmend darauf, mit welchen Diensten und Anbietern ihre Partner arbeiten. Ein gemeinsamer, benannter Souveränitäts-Maßstab macht es leicht, eine solche Erwartung konkret zu formulieren — etwa als Mindest-Level, das ein eingesetzter Cloud-Dienst erreichen soll.

Dass der Markt sich ohnehin in diese Richtung bewegt, unterstreicht eine Gartner-Prognose: Demnach steigen die europäischen Ausgaben für souveräne Cloud-Infrastruktur 2026 auf rund 12,6 Mrd. USD und damit um etwa 83 % gegenüber dem Vorjahr. Als Prognose ist diese Zahl mit der entsprechenden Vorsicht zu lesen, doch die Richtung ist eindeutig: Souveränität wird vom Nischenthema zu einem regulären Kriterium der Anbieterwahl. Für kleine Betriebe folgt daraus kein Grund zur Hektik, wohl aber ein Anlass, das Thema bewusst mitzuführen.

Was Sie jetzt tun sollten

Sie müssen wegen SEAL weder Ihren Anbieter wechseln noch kurzfristig etwas umstellen. Sinnvoll ist aber, das Raster einmal als Checkliste zu nutzen, um Ihre eigene Lage einzuordnen:

• Gehen Sie Ihre genutzten Cloud- und SaaS-Dienste durch. Verschaffen Sie sich einen Überblick, welche Dienste Sie heute einsetzen — von der Server-Infrastruktur bis zu einzelnen Anwendungen aus der Cloud. Diese Bestandsaufnahme ist die Grundlage für jede Bewertung.
• Fragen Sie nach den drei zentralen Kriterien. Klären Sie für die wichtigen Dienste: Welcher Rechtsordnung unterliegt der Anbieter? Wie stark ist er dem US CLOUD Act ausgesetzt? Und wie transparent ist seine Lieferkette? Diese drei Fragen lassen sich an jeden Anbieter richten und liefern bereits ein belastbares Bild.
• Legen Sie bei neuen Verträgen ein Mindest-Level fest. Wenn ohnehin ein neuer Dienst ansteht, behandeln Sie das Souveränitätslevel als eines Ihrer Auswahlkriterien — neben Funktion, Verlässlichkeit und Kosten. So treffen Sie die Entscheidung von vornherein bewusst, statt später unter Zeitdruck nachzubessern.
• Prüfen Sie europäische Anbieter als Option. Für höhere Souveränitätsanforderungen kommen verstärkt europäische Anbieter ins Spiel — Namen wie OVHcloud, Scaleway, STACKIT, IONOS oder Hetzner werden in diesem Zusammenhang genannt. Welcher davon zu Ihnen passt, hängt vom Anwendungsfall ab; das SEAL-Raster hilft, sie an überprüfbaren Eigenschaften zu vergleichen, statt an Werbeaussagen.

Fazit

Das Verdienst von SEAL liegt weniger in einer einzelnen Zahl als im Prinzip: Souveränität ist nicht länger ein vages Versprechen, sondern eine abgestufte, an festen Kriterien überprüfbare Eigenschaft. Damit verschiebt sich die Anbieterwahl von „Wer wirbt am überzeugendsten mit europäischer Datenhoheit?" hin zu „Wo steht dieser Dienst auf einer nachvollziehbaren Skala?". Das macht Entscheidungen vergleichbar — und im Zweifel auch belegbar, wenn ein Auftraggeber danach fragt.

Wenn Sie wissen möchten, wo Ihre heutigen Cloud-Dienste an diesen Kriterien stehen, sehen wir uns das gemeinsam an: Wir verschaffen Ihnen einen Überblick über Ihre eingesetzten Anbieter, ordnen sie entlang von Rechtsstandort, CLOUD-Act-Exposition und Lieferkettentransparenz ein und unterstützen Sie bei der Auswahl, falls für Sie ein höheres Souveränitätslevel sinnvoll ist. So treffen Sie Ihre Cloud-Entscheidungen auf einer sachlichen Grundlage, in Ruhe und nach überprüfbaren Maßstäben.